Un utilisateur a téléchargé une application depuis le Mac App Store pour transférer son portefeuille cryptographique vers un nouveau MacBook. En quelques minutes, il a perdu 5,9 BTC — les économies de dix ans. Il s'est avéré qu'il y avait plus de cinquante victimes comme lui.
Comment le stratagème fonctionnait
Une version contrefaite de Ledger Live est apparue sur le Mac App Store sous le compte développeur Leva Heal Limited — une entreprise sans aucun lien avec le véritable Ledger. L'application ressemblait à l'original et demandait pendant la « configuration » d'entrer une phrase de déverrouillage de 24 mots. Le véritable Ledger Live ne le fait jamais : la phrase n'est saisie que sur l'appareil physique.
Pour simuler un développement actif, les cybercriminels ont artificiellement augmenté la « versionnalité » : l'application est passée de la version 1.0 à 5.0 en seulement deux semaines — une grande mise à jour tous les quelques jours. L'attaque a duré du 7 au 13 avril.
« Les trois plus grandes victimes ont perdu des sommes à sept chiffres : 3,23 millions de dollars en USDT, 2,08 millions de dollars en USDC et 1,95 million de dollars en BTC, ETH et stETH »
— selon les données de l'enquêteur blockchain ZachXBT
L'argent a transité par une bourse au passé criminel
Les fonds volés ont été acheminés via plus de 150 adresses de dépôt sur KuCoin et étaient liés au mélangeur centralisé AudiA6, qui tire profit de l'obfuscation des flux illégaux. Le choix de la plateforme n'était pas aléatoire : KuCoin a payé en 2025 plus de 300 millions de dollars aux régulateurs américains pour violations de la législation anti-blanchiment d'argent, et en février 2026, les autorités autrichiennes ont interdit à la bourse d'attirer de nouveaux clients de l'UE. Après la publicité, KuCoin a gelé les comptes associés — mais seulement jusqu'au 20 avril.
Apple : « nous examinons chaque application » — mais pas celle-ci
La position officielle d'Apple se présente ainsi : « Chaque application et chaque mise à jour sont examinées pour se conformer aux exigences de confidentialité, de sécurité et de protection des utilisateurs ». Le faux Ledger a séjourné dans le Mac App Store pendant environ deux semaines. Apple l'a supprimé après les plaintes des utilisateurs et n'a depuis pas commenté comment l'application a réussi la modération.
Ce n'est pas la première fois. Selon les analystes, en 2025, les crypto-investisseurs ont perdu environ 17 milliards de dollars via des piratages et des fraudes — et une grande partie des attaques utilise une infrastructure légitime pour la distribution : magasins d'applications, interfaces réalistes, scénarios de configuration plausibles. ZachXBT a publiquement suggéré que l'ampleur des pertes pourrait être une base pour un recours collectif contre Apple.
- Pertes : 9,5 millions de dollars, plus de 50 victimes en 6 jours
- Vecteur : phrase de déverrouillage via une interface utilisateur contrefaite de l'application officielle
- Blanchiment : 150+ adresses KuCoin → mélangeur AudiA6
- Réaction d'Apple : suppression de l'application, aucun commentaire
Ledger avertit systématiquement : aucune application légitime de l'entreprise ne demandera jamais une phrase de déverrouillage sur un ordinateur de bureau. Mais si l'App Store ressemble à une garantie de sécurité — et c'est exactement ce qu'Apple a présenté comme argument de marketing pendant des années — alors la question est simple : quelque chose changera-t-il dans le processus d'examen avant qu'Apple reçoive le premier procès collectif ?
